文｜鋅刻度 陳鄧新

編輯｜高智

AI，是一柄雙刃劍。

既可以成為安全工程師的好幫手，用來尋找潛在的安全威脅以及修復漏洞，也可以成為黑客的利器，用來發動大規模的網絡攻擊。

這并非杞人憂天。

前不久，網絡安全公司Home Security Heroes 發布了一份報告，稱使用了一款名為 PassGAN的新型AI工具，51%的常規密碼可以在不到1分鐘時間內完成破解。

密碼破解早已有之，AI下場有何不同？密碼破解難度下降，普通人該不該慌？AI時代，“功守道”該如何演繹？

常規密碼，一分鐘破解

眼下，黑客對AI的興趣愈發濃烈。

之前，一個名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳，帖子中展示了一個Java片段，可以用來下載盜號木馬、勒索病毒、流氓軟件等惡意程序。

甚至，一個從未涉足腳本的知名黑客USDoD，在好奇心驅使之下借助 ChatGPT生成了人生第一個可以執行加解密功能的Python腳本，該腳本稍加改造就可以變成勒索病毒。

不過，上述攻擊都是模擬的，實際場景更為復雜，真正落地還有很長一段路要走。

盡管如此，外界認為黑客利用AI作惡，只是時間問題。

這次，白帽黑客使用了帶AI的PassGAN工具測試了超過 1568萬個密碼，在不到1分鐘時間內成功破解了51%的密碼；1個小時破解了65%的密碼；1天破解了71% 的密碼；1個月破解了81% 的密碼。

圖源：網絡安全公司Home Security Heroes

一名匿名黑客告訴鋅刻度：“PassGAN之類的AI工具，拉低了密碼破解的門檻，相關的攻擊或更泛濫。”

上述匿名黑客進一步表示，普通的密碼破解工具，是按照一定的順序去碰撞(嘗試)，通俗易懂地說就是暴力破解，引入AI能力之后，分析已知的泄露密碼庫，歸納密碼出現的頻率，并率先使用高頻密碼進行碰撞，碰撞不成功再啟用窮舉法暴力破解，這考驗的是密碼的復雜程度，以字母大小寫疊加數字的12位非常規密碼為例，PassGAN破解需要2000年。

魔高一尺，道高一丈

盡管如此，普通人不用慌。

一名安全工程師告訴鋅刻度：“最安全的密碼就是記不住的密碼，但記不住的密碼則會帶來另外的麻煩，因而實際生活中，短信驗證碼、人臉識別、第三方賬號登錄等成為主流。”

一言以蔽之，密碼破解的路越走越窄。

但并不能以此放棄警惕之心，畢竟AI對黑客的助力，并不僅僅局限于密碼破解，深度偽造、人工智能投毒、人工智能模糊測試等都是研究的方向。

上海市人工智能行業協會秘書長鐘俊浩表示：“比起失控的技術，更有可能失控的是用技術來為非作歹的‘人’。比如，惡意使用者可能會利用ChatGPT來制造虛假信息、實施欺詐活動或進行其他不道德行為。防止人工智能作惡，關鍵在于控制背后的人。”

魔高一尺，道高一丈

好在，防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統和安全領域特定的數據，可以幫助安全人員更快地發現黑客的攻擊，且這一工具可以同時處理1000個警報，并在幾秒鐘內提供安全報告。

也就是說，以前靠人工檢測何況攻擊，現在依賴AI就可以達到目的，用魔法打敗魔法，效率還更高。

事實上，GPT-4上線之初也進行了風險測試。

據外媒報道， Open AI于2022年聘請了50名專家學者，由學者、教師、律師、風險分析師和信息安全研究員組成，對GPT-4這一新模型進行了“定性探索和對抗性測試”，目的是探索并了解在社會上部署先進人工智能系統會造成什么樣的風險。?

簡而言之，AI也成為對抗黑客的利器。

譬如，DefPloreX 是一個機器學習工具包，使用數據可視化技術將非結構化數據轉化成有意義的描述，旨在檢測互聯網上的大規模電子犯罪。

再譬如，Intercept X是一個網絡安全工具，利用深度學習功能變被動防御為預測防御，可防止已知威脅和從未見過的威脅。

總而言之，黑客進入AI時代，試圖借助新技術再上一個臺階，這對安全圈而言是一個不容忽視的挑戰，好在也可以提高防御的水平。

那么，魔高一尺，道高一丈。